目次
マイナンバー業務の委託は「委託先選び」から
・委託先の適切な選定
・委託先に安全管理措置を遵守させるために必要な契約の締結
・委託先における特定個人情報の取扱い状況の把握
「委託先の適切な選定」とは
「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」(以下、「ガイドライン」)によれば「必要かつ適切な監督」には3つのポイントがあるとされています。
そのうちの1つが「委託先の適切な選定」です。委託する事業者は、委託先がマイナンバーをきちんと管理しているのかどうかをあらかじめ確認しておかなくてはなりません。これを怠ればマイナンバー法違反になる可能性もあります。
「きちんと管理している」の基準
委託先選びの際の基準は、「委託先がマイナンバー法に基づいて本来委託する側の事業者が果たすべき安全管理措置と同等の措置がとられているかどうか」です。
覚えておきたいのは委託先が満たすべき安全管理措置の水準は、あくまでマイナンバー法が求めているレベルで問題ないという点。仮に委託する側の事業者が特別にハイレベルな安全管理措置をとっていたとしても、委託先にそのレベルを求めなくても良いということです。
委託先選びの具体的なチェックポイント
「ガイドライン」に挙げられている委託先選びのチェックポイントは以下の4つ。
・技術水準
・従業者に対する監督・教育の状況
・その他委託先の経営環境等
「委託先の設備」とは、マイナンバーが記載されている書類を管理する鍵付きの棚や引き出し、マイナンバーを取り扱うための専用の部屋(管理区域)などのことをいいます。
技術水準はマイナンバーを管理するパソコンなどへのアクセス制御のことです。
従業者に対する監督・教育の状況はマイナンバー業務の担当者の監督や教育はもちろん、従業者に含まれる取締役や監査役のマイナンバー業務への理解も含まれます。
マイナンバーの委託契約のポイントは「安全管理措置」
「委託先に安全管理措置を遵守させるために必要な契約の締結」とは
「必要かつ適切な監督」の2つ目のポイントは「委託先に安全管理措置を遵守させるために必要な契約の締結」。
すでに個人情報の取り扱いに関する契約を締結していて、かつマイナンバー法が求めているレベルの安全管理措置が順守できるのであれば、別途契約を結ぶ必要はありません。
また委託する側の事業者と委託先双方の合意が証明できるものであれば、誓約書や合意書など書式の類型はどんなものでもいいとされています。
どのような内容の契約が求められているか
「ガイドライン」に挙げられているうち、契約内容に盛り込まなくてはならないとされているのは8項目です。
・事業所内からの特定個人情報の持ち出しの禁止
・特定個人情報の目的外利用の禁止
・再委託における条件
・漏えい事案等が発生した場合の委託先の責任
・委託契約終了後の特定個人情報の返却又は廃棄
・従業者に対する監督・教育
・契約内容の遵守状況について報告を求める規定等
ガイドラインはこれらに加えて、委託先でマイナンバー業務を行う従業者の明確化、委託した側の事業者の委託先への実地調査を可能にする項目などを盛り込むことを推奨しています。
マイナンバー業務委託の注意点
「委託先における特定個人情報の取扱状況の把握」とは
「必要かつ適切な監督」の3つ目のポイントは「委託先における特定個人情報の取扱状況の把握」です。
適切な委託先選びをし、契約を締結したからといって、マイナンバーの漏えいや紛失が起きた場合に全て委託先の責任になるというわけありません。特定個人情報保護委員会のガイドラインQ&Aは委託した側の事業者の監督義務として次の3点を挙げています。
・特定個人情報等の範囲の明確化
・事務取扱担当者の明確化
・個人番号の削除、機器及び電子媒体等の廃棄
再委託の際の注意点
マイナンバー法10条はマイナンバー業務の再委託についての条文です。マイナンバー業務の委託を受けた事業者は、委託した側の事業者の許諾を得た場合に限って、その業務を再委託することができると定めています(再々委託も可能)。
この時注意したいのが「必要かつ適切な監督」の義務の範囲。最初に委託した事業者はこの再委託先、もしくは再々委託先にまで「必要かつ適切な監督」の義務を間接的に負うこととされています。
委託先によって再委託される場合は、この点をよく理解しておきましょう。
まとめ
マイナンバー業務は委託、再委託、再々委託が可能です。しかしいずれにも委託する側の事業者は「必要かつ適切な監督」の義務を負っています。この言葉をよく理解して、委託業者を利用するようにしましょう。
※ 掲載している情報は記事更新時点のものです。
